Post on 04-Aug-2020
Connaissance et anticipation des risques
Présentation Club EBIOS
Une Mission…
Reposant sur trois piliers
Centre opérationnel de la SSI - COSSI
5/2/2018 2
Défendre les systèmes numériques d’intérêt pour la Nation
INCIDENTS
REPONSE
CONNAISSANCE & ANTICIPATION
DETECTION
INVESTIGATION MARQUEURS
PARTENARIATS
Acquérir et partager de la connaissance à des fins de soutien et d’orientation
Une Mission…
S’appuyant sur une vision consolidée des risques
Division connaissance et anticipation - DCA
Risques Secteurs
Evènements majeurs Domaines technologiques / usages
Groupes d’attaquant
Vulnérabilités produit
Vulnérabilités SI
Scénarios d’attaque 5/2/2018 3
Organisation de la gestion de risques
5/2/2018
• Contrat de service annuel
• Secteurs d’activité prioritaires
• Groupes d’attaquants d’intérêt
• Calendrier de la menace
• Structure projet
• Définition d’objectifs stratégiques / évènements redoutés
• Coordination des expertises métier internes
• Acquisition de connaissances externes
• Equipes intégrées
• Traitement des incidents
• Développement des capacités de détection
• Productions
• Alertes, mémos, recommandations, sensibilisations
• Orientations long terme 4
Métiers engagés autour de la menace
5/2/2018
• Analystes menaces et risques
• Etat de la menace, tendances
• Analyses sectorielles, acteurs
• Analystes de groupes d’attaquants
• Mode opératoire
• Infrastructures d’attaque
• Analystes de codes
• Codes malveillants
• Codes d’exploitations de vulnérabilités
Support : CMI, BDD, experts en signatures 5
Orientation
Sources
Veille
Analyse
Capitalisation
Partage
Métiers engagés autour des vulnérabilités
5/2/2018
• Auditeurs de système d’information
• Audit / contrôle sur des systèmes d’information
• Chasse sur les systèmes critiques
• Scan sur Internet
• Analystes en vulnérabilité produit
• Veille sur un périmètre priorisé
• Suivi des codes d’exploitation associés
• Qualification / analyse
• Publication, alertes
• Soutien capacités de détection
6
Exemple 1 – Élections présidentielles
5/2/2018
• Veille sur les incidents touchant d’autres élections
• Suivi des groupes d’attaquant supposés associés
• Sensibilisation des partis politiques
• Audit de systèmes d’information impactés
• Soutien des capacités de détection et d’investigation
7
Exemple 2 – Secteur d’activité
5/2/2018
• Définition, partage d’un état de la menace et des risques
• Veille et suivi de groupes d’attaquant ciblant le secteur
• Analyse de codes sur des plateformes spécifiques au secteur
• Développement d’échanges à l’international
• Adaptation du plan d’audits annuel, interne et externe
• Veille de vulnérabilités sur des produits spécifiques
• Campagne de partage sur la menace et recherches de compromission
8
Modélisation de la menace – Exercice difficile
5/2/2018 9
Analyses multidimmensionnelles
• Géopolitique
• Economique
• Technique
Diversité des sources
• Source ouverte
• Partenaires
• Systèmes de détection
• Réponse aux incidents
Complexité métier
• Visibilité partielle
• Cycle de vie
• Multiplication des outils
• Evolutions des activités
• Nombreux travaux
Diversité des bénéficiaires
• Acteurs étatiques
• OIV, OSE
• Prestataires de service
• Stratégique
• Opératif
• Tactique
Structuration, capitalisation, taxonomie des données Modélisation de la menace à plusieurs niveaux : stratégique, opérationnel et tactique
Organisation et évolution du secteur Enjeux
Maturité SSI, vulnérabilités Menaces concernées
VISUAL PHARM
10
Exemple de modélisation de niveau stratégique
Externe (international,
réglementation, supply chain,
etc.)
Services essentiels
Impacts Evènements
redoutés
Biens support
Acteurs internes
Tendances
1 Vulnérabilité 1 Bien support
2 Vulnérabilité 2 Bien support
3 Vulnérabilité 3 Bien support
Fiche d’identité (SO, capacités, activités, liens) Cibles (pays, secteur)
Modes opératoires (vecteur, sophistication, arsenal) Finalités (motivations, état final recherché)
VISUAL PHARM
11
Exemple de modélisation de niveau opératif
VIC
TIM
ES
5/3/2018 12
AN
ON
YMIS
ATIO
N
FRO
NTE
ND
B
AC
KEN
D
Serveurs de contrôle Serveurs d’exfiltration Serveurs de dépôt de
codes malveillants
Exemple de modélisation de niveau tactique
Serveurs dédiés
Compromission frontale
PJ PDF
Serveur Web Serveur Mail
Phishing Vol de mot
de passe
Client mail
Contribution à la méthode EBIOS
5/2/2018
• Réflexions sur la méthode
• Modélisation de la menace, cyber kill chain
• Mise en cohérence du vocabulaire
• Métriques de cotation
• Alimentation de la base de connaissances
• Catégories de source de risques et d’objectifs visés
• Techniques d’accès : usurpation, exploitation de vulnérabilité, supply chain, etc.
• Techniques d’attaque : déni de services, exfiltration, effacement, altération, etc.
13
Questions ?
5/2/2018 14